Un mio amico mi ha appena raccontato questo episodio, riporto la chat esattamente come me l’ha raccontata:
Falso colloquio di lavoro… Mi hanno contattato su LinkedIn. Abbiamo fatto una videochiamata e il tipo voleva fare una prova di programmazione dal vivo. Mi ha fatto clonare un repo con degli esercizi. E io non ho pensato a fare un check
Al primo test che ho eseguito m’ha rubato tutte le credenziali nel computer. Incluso bitwarden che in quel momento era aperto…
Dopo poco si è disconnesso (ancora non sono sicuro se volontariamente, perché poi m’ha mandato un altro messaggio su LinkedIn. Ma forse era per non farmi sospettare, boh). Cmq dopo due minuti ho capito che puzzava di cagata e ho fatto fare un analisi a Claude che ha sgamato il payload
La cosa più strana comunque è che dopo varie ore (che ho passato cambiando tutte le password importanti), di botto ho perso l’accesso a TUTTE le mie e-mail
E chiaramente panico… Ma tutte tutte. Di botto. Più il mio dominio su GoDaddy
Ho svoltato perché una mail su zoho permetteva l’accesso da telefono.
Quello mi ha permesso di recuperare un mail su proton. E quella mi ha permesso recuperare il dominio.
Ora, avevo sentito di attacchi eseguiti con plugin di vscode, ma mai una roba del genere in una interview dal vivo tramite LinkedIn.
Sono andato in paranoia perché su bitwarden ho salvato di tutto, sarebbe un disastro inenarrabile. Quindi l’unica cosa che posso fare è stare 10 volte più attento a qualsiasi codice eseguo dalla macchina e impostare la chiusura automatica su bitwarden dopo 30 secondi, che è un dito al culo rimettere la master password ogni volta ma amen.
Ormai con gli LLM è diventato molto più facile scrivere codice malevolo anche per chi non è un fulmine di guerra del settore.
Si, durante la videocall “l’esaminatore” gli ha chiesto di clonare una repository da GitHub con dei presunti esercizi di coding da fare. Quando ha eseguito i test per vedere se la soluzione ad un esercizio fosse corretta, i test contenevano in realtà un malware che ha fottuto tutti i dati possibili.
È un pratica comune fare esercizi di questo tipo in una coding interview, anche se è meno comune che te la facciano fare direttamente sul tuo computer in locale, spesso avviene su piattaforme dedicate online.
Quindi sì, sicuramente ha peccato di leggerezza ma non me la sento di condannarlo più di tanto, nello stress di un colloquio ci può stare che ti presti a fare cose dove normalmente metteresti un occhio di riguardo in più
Parlandone con altri amici mi hanno raccontato come nelle ultime settimane sta diventando diffusa un’altra pratica:
In azienda da loro vengono contattati da clienti che si dicono interessati al prodotto. Si organizza una videocall (in genere con Zoom) e durante la videocall i presunti clienti lamentano problemi a connettersi dalla loro rete e chiedono di installare un plugin per Zoom.
Se ci si casca, adios
Ricordo anni fa che quando c’era un’ondata pesante di scammer su steam che ti ciulavano profilo / skin di counterstrike (in media i bimbiricchi europei con 2k o 3k ore su cs avevano inventari che andavano da 500 a 2k euro), il tizio nella mia cerchia più ossessionato e paranoico di tutti, che stava ATTENTISSIMOH e sfotteva sempre la gente che venva scammata, un bel giorno qualcuno ha impersonato un suo amico e gli ha fatto cliccare dove non doveva e gli ha prosciugato tutto.
Ha ragequittato definitivamente e ad oggi che io sappia non ha mai più aperto il gioco
Il social engineering se fatto bene ti fotte alla grande, la cosa più hackerabile del mondo è l’essere umano
Ti auguro di non abbassare mai la guardia.
E comunque il mio amico è il primo ad avere ammesso di aver fatto una cagata, questo non significa a mio parere che sia un coglione, ma che ha fatto una coglionata in un momento in cui era sotto pressione
I’ve heard of these attacks and read about them on HN, but when one came after me it still caught me a bit off guard. I suspected something from the first few messages, but on a more tired or rushed day, I could easily have run npm install before thinking it through. So, if you get a LinkedIn message asking you to review a repo, a bit of paranoia and good security hygiene never hurts.
E questo è un tecnico informatico penso molto superiore alla media. Ma avere un approccio del tipo “tutti possono sbagliare in certi momenti” credo che sia più sicuro e ragionevole che “a me non succederebbe mai perché io sono più sveglio”
, almeno per aziende medio grosse, altre più specializzate anche di piu
